1
Aufruf von api.telegram.org durch eine Website?
Moin,
zusätzlich zu den üblichen Features und Listen in unserer Firewall sammle ich noch regelmäßig die Logs ein und prüfe diese gegen bekannte IOCs.
Dabei ist mir neuerdings in API-Aufruf zu Telegram aufgefallen. Genauer gesagt folgender API-Aufruf:
api.telegram.org/bot1234567890:ABCDEFGHIJabcdefghij/sendMessage (den Bot-Namen und API-Key habe ich maskiert).
Es gab auch nur einen einzigen Log-Eintrag. Der restliche Verlauf zum Client in der Firewall ist in Ordnung. Keine Auffälligkeiten. Auch der Client selbst ist unauffällig.
Gestern gab es noch einmal denselben Aufruf, aber von einem anderen User in einem anderen Teil der Organisationsstruktur.
Ich habe daraufhin mal die zuvor aufgerufenen URLs verglichen. Dabei sind mir zwei Stück aufgefallen, die verdammt ähnlich sind:
w*w.searchfury.com/de/20230507?slug=die-5-besten-su-vs-auf-dem-markt&utm_source=7**5&utm_source=taboola&utm_medium=referral&...
sowie
api.taboola.com/2.0/json/msn-windows-germany/recommendations.notify-click?app.type=bidder&app.apikey=...
Es sieht also sehr danach aus, als würde der Aufruf tatsächlich irgendwo über eine Seite oder dessen ganzes Ad-Gedöns erfolgen.
Haltet ihr es für möglich, dass tatsächlich einer dieser halbseriösen Werbeseitenbetreiber in irgendeiner Verlinkung tatsächlich die Telegram-API mit API-Key im html-code aufruft?
Der API-Aufruf ist mehr als dubios, aber alle Recherchen deuten darauf hin, dass es von einer Website kommt. Da diese natürlich hochgradig dynamisch sind, lässt sich sowas ja leider auch nicht ohne weiteres reproduzieren.
zusätzlich zu den üblichen Features und Listen in unserer Firewall sammle ich noch regelmäßig die Logs ein und prüfe diese gegen bekannte IOCs.
Dabei ist mir neuerdings in API-Aufruf zu Telegram aufgefallen. Genauer gesagt folgender API-Aufruf:
api.telegram.org/bot1234567890:ABCDEFGHIJabcdefghij/sendMessage (den Bot-Namen und API-Key habe ich maskiert).
Es gab auch nur einen einzigen Log-Eintrag. Der restliche Verlauf zum Client in der Firewall ist in Ordnung. Keine Auffälligkeiten. Auch der Client selbst ist unauffällig.
Gestern gab es noch einmal denselben Aufruf, aber von einem anderen User in einem anderen Teil der Organisationsstruktur.
Ich habe daraufhin mal die zuvor aufgerufenen URLs verglichen. Dabei sind mir zwei Stück aufgefallen, die verdammt ähnlich sind:
w*w.searchfury.com/de/20230507?slug=die-5-besten-su-vs-auf-dem-markt&utm_source=7**5&utm_source=taboola&utm_medium=referral&...
sowie
api.taboola.com/2.0/json/msn-windows-germany/recommendations.notify-click?app.type=bidder&app.apikey=...
Es sieht also sehr danach aus, als würde der Aufruf tatsächlich irgendwo über eine Seite oder dessen ganzes Ad-Gedöns erfolgen.
Haltet ihr es für möglich, dass tatsächlich einer dieser halbseriösen Werbeseitenbetreiber in irgendeiner Verlinkung tatsächlich die Telegram-API mit API-Key im html-code aufruft?
Der API-Aufruf ist mehr als dubios, aber alle Recherchen deuten darauf hin, dass es von einer Website kommt. Da diese natürlich hochgradig dynamisch sind, lässt sich sowas ja leider auch nicht ohne weiteres reproduzieren.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7684661712
Url: https://administrator.de/contentid/7684661712
Ausgedruckt am: 21.11.2024 um 12:11 Uhr
1 Kommentar
Ich hatte mir für api.telegram.org einen Packet-Capture-Filter angelegt. "Glücklicherweise" hatte der heute sogar gleich angeschlagen.
Damit war ich in der Lage, die ganze Kommunikation zu lesen. Es geschieht tatsächlich durch den Aufruf von searchfury/taboola. Demnach wie das da aussieht, wohl für Tracking oder Referrer-Analyse.
Da ich jetzt weiß, dass es kein Problem mit den Clients ist, werde ich die Seiten einfach blockieren. Das wird ja immer schlimmer mit diesem Werbe-Mist. Witzig nur, dass ich mit Hilfe des API-Keys Schindluder mit dem Bot treiben könnte. Aber wir lassen das mal.
Damit war ich in der Lage, die ganze Kommunikation zu lesen. Es geschieht tatsächlich durch den Aufruf von searchfury/taboola. Demnach wie das da aussieht, wohl für Tracking oder Referrer-Analyse.
Da ich jetzt weiß, dass es kein Problem mit den Clients ist, werde ich die Seiten einfach blockieren. Das wird ja immer schlimmer mit diesem Werbe-Mist. Witzig nur, dass ich mit Hilfe des API-Keys Schindluder mit dem Bot treiben könnte. Aber wir lassen das mal.
